Рекомендация Debian по безопасности

DSA-4633-1 curl -- обновление безопасности

Дата сообщения:
22.02.2020
Затронутые пакеты:
curl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 929351, Ошибка 940009, Ошибка 940010.
В каталоге Mitre CVE: CVE-2019-5436, CVE-2019-5481, CVE-2019-5482.
Более подробная информация:

В cURL, библиотеке передачи URL, были обнаружены многочисленные уязвимости.

  • CVE-2019-5436

    В коде получения данных по TFTP было обнаружено переполнение буфера, которое может позволить вызов отказа в обслуживании или выполнение произвольного кода. Данная уязвимость касается только предыдущего стабильного выпуска (stretch).

  • CVE-2019-5481

    Томас Вегас обнаружил повторное освобождение памяти в коде FTP-KRB code, вызываемое вредоносным сервером, отправляющим слишком большой блок данных.

  • CVE-2019-5482

    Томас Вегас обнаружил переполнение буфера, которое может быть вызвано использованием небольшого значения размера блока TFTP (значение не по умолчанию).

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52.1-5+deb9u10.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 7.64.0-4+deb10u1.

Рекомендуется обновить пакеты curl.

С подробным статусом поддержки безопасности curl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/curl